إن الأمان السحابي الفعال يعني أكثر من مجرد تطبيق ضوابط قوية للوصول والمصادقة أو تشفير البيانات أثناء التخزين أو النقل. ما نحتاجه هو مجموعة من القواعد لكيفية إدارة أمان السحابة، والمفتاح لذلك هو سياسة أمان السحابة.
أ الأمن السحابي تحتوي السياسة على إرشادات مفصلة لمساعدة المؤسسة على ضمان عملها بأمان في السحابة. لأنه يمكن استخدام الموارد السحابية في تكوينات متعددة خاصة وعامة و سحابة هجينة، يجب مراعاة كل من هذه الترتيبات عند النظر في أ السياسة الأمنية.
دعونا نلقي نظرة على ما يلزم لإعداد سياسة أمان سحابية لمعالجة انتهاكات البيانات والحوادث الأمنية. يوجد هنا أيضًا قالب جاهز للاستخدام للمساعدة في إعداد سياسة أمان السحابة الأساسية.
ما أهمية سياسة الأمان السحابية؟
معظم سياسات وإجراءات قسم تكنولوجيا المعلومات تكمل بعضها البعض. وهي تحدد ما سيتم توفيره – على سبيل المثال، سياسة أمان السحابة – وكيفية تحقيق الامتثال للسياسة – على سبيل المثال، إجراءات أمان السحابة والتقييمات والاختبار.
وبدون السياسات، قد تتعرض الشركات لخطر الخروقات الأمنية والخسائر المالية والعواقب الأمنية الأخرى. يمكن الإشارة إلى غياب السياسات ذات الصلة أثناء أنشطة تدقيق تكنولوجيا المعلومات، وفي بعض الحالات، قد يؤدي ذلك إلى فرض غرامات عدم الامتثال أو عقوبات أخرى.
معايير الأمان السحابية يجب أيضًا فحصها للتأكد من متطلبات الامتثال. أحد المعايير المحددة هو ISO 27001:2022 أمن المعلومات والأمن السيبراني وحماية الخصوصية – أنظمة إدارة أمن المعلومات – المتطلبات. يحتوي هذا المعيار العالمي على متطلبات محددة للامتثال، ويمكن للمؤسسات التأهل للحصول على شهادة الامتثال. يتضمن اثنان من معايير الأمان السحابية المحلية الهامة ما يلي:
- NIST SP 800-53 Rev. 5 (2020)، ضوابط الأمان والخصوصية لأنظمة المعلومات والمنظمات. يعد هذا معيارًا أمنيًا مهمًا وينطبق على الخدمات السحابية.
- NIST SP 800-144 (2011)، إرشادات حول الأمن والخصوصية في الحوسبة السحابية العامة. يوفر هذا المعيار إرشادات حول تنفيذ أمان السحابة العامة، بما في ذلك التدابير الأمنية وحماية حسابات المستخدمين واستخدام كلمات مرور قوية وطرق المصادقة الأخرى.
بالإضافة إلى ذلك، قد يرغب العملاء في الحصول على ضمانات بأن بياناتهم ستتم حمايتها من البرامج الضارة والهجمات الإلكترونية الأخرى. إن إتاحة سياسة أمان السحابة – أو إصدار مختصر مع إبراز العناصر الرئيسية – لمراجعة العملاء يمكن أن يؤدي في كثير من الأحيان إلى تخفيف المخاوف من تلف البيانات أو سرقتها وتحسين سمعة العلامة التجارية.
غالبًا ما تتم كتابة سياسات أمان السحابة حول موضوعات مثل ما يلي:
خطوات إنشاء سياسة أمان السحابة
للبدء، تتوفر ستة خيارات فعالة من حيث التكلفة لإنشاء سياسة أمان سحابية:
- تكييف سياسات أمن المعلومات الحالية مع السحابة. ويمكن لهذه الأنظمة استخدام هيكل السياسة الحالي ودمج المكونات ذات الصلة التي تتناول الأمان السحابي.
- أضف عناصر السحابة إلى سياسة الأمن السيبراني الحالية.
- يجد أمثلة على السياسات وتكييفها مع احتياجات مؤسستك.
- قم بتقييم واختيار البرامج من الموردين الذين يمكنهم إنتاج السياسات بسرعة.
- قم بمراجعة معايير الأمان السحابية للأطر والمحتوى الذي يمكن تضمينه في السياسة.
- استخدم قالب سياسة أمان السحابة المضمن في هذه المقالة.
عند إعداد سياسة أمان السحابة، تأكد من الالتزام بالخطوات التالية كحد أدنى:
- حدد الغرض التجاري من الحصول على أمان السحابة، وبالتالي سياسة أمان السحابة والإجراءات المرتبطة بها.
- الحصول على موافقة الإدارة العليا لتطوير السياسة.
- وضع خطة المشروع لتطوير السياسة والموافقة عليها.
- تشكيل فريق لتطوير مسودة السياسة.
- اطلب من بائع (موردي) السحابة المساعدة في تطوير السياسة.
- جدولة جلسات الإحاطة الإدارية أثناء الكتابة لضمان معالجة القضايا ذات الصلة.
- إذا كان بائع (موردو) السحابة جزءًا من فريق تطوير السياسة، فتأكد من دعوتهم لحضور الاجتماعات
- قم بدعوة الفرق القانونية وفرق الموارد البشرية للمراجعة والتعليق.
- قم بدعوة فرق التدقيق الداخلي و/أو تدقيق تكنولوجيا المعلومات للمراجعة.
- دعوة قسم إدارة المخاطر للمراجعة.
- قم بتوزيع المسودة للمراجعة النهائية (بما في ذلك بائع السحابة) للحصول على التعليقات قبل إرسالها للحصول على موافقة الإدارة.
- الحصول على موافقة الإدارة، ثم نشر السياسة على الموظفين.
- تنظيم دورات تدريبية للتوعية الأمنية للموظفين.
- إنشاء عملية مراجعة وتغيير للسياسة باستخدام إدارة التغيير إجراءات.
- جدولة والاستعداد لعمليات التدقيق السنوية للسياسة.
مكونات سياسة الأمان السحابية
يمكن أن تكون سياسات الأمان السحابي بسيطة. قد تكفي بضع فقرات لوصف الأنشطة السحابية ذات الصلة دون الخوض في الكثير من التفاصيل. يمكن، بل ينبغي، تضمين المزيد من التفاصيل حسب الحاجة، ولكن معظم أقسام تكنولوجيا المعلومات سترغب في إبقاء السياسات موجزة مع الاستمرار في معالجة المشكلات المهمة.
فيما يلي مخطط تفصيلي للمكونات الضرورية لسياسة أمان السحابة:
- مقدمة. اذكر الأسباب الأساسية لوجود سياسة أمان سحابية.
- الغرض والنطاق. قم بتقديم تفاصيل حول غرض ونطاق سياسة السحابة.
- بيان السياسة. اذكر سياسة أمان السحابة بعبارات واضحة، بما في ذلك الأنظمة التي قد تتأثر، وبائعي (موردي) السحابة المعنيين، والمعايير التي تتناول أمان السحابة وأي بيانات أخرى ذات صلة.
- قيادة السياسات. الدولة المسؤولة عن الموافقة على السياسة وتنفيذها.
- التحقق من الامتثال للسياسة. حدد ما هو مطلوب، مثل التقييمات أو التمارين أو اختبارات الاختراق، للتحقق من امتثال أنشطة أمان السحابة للسياسات. في حالة وجود اتفاقية مستوى الخدمة (SLA)، فيجب الإشارة إلى ذلك في السياسة.
- عقوبات عدم الامتثال. حدد العقوبات – على سبيل المثال، التوبيخ اللفظي ومذكرة في ملف الموظفين للحوادث الداخلية أو الغرامات والإجراءات القانونية للأنشطة الخارجية – لعدم الالتزام بالسياسات واتفاقيات مستوى الخدمة إذا كانت جزءًا من السياسة.
- الملاحق (حسب الحاجة). قم بتوفير معلومات مرجعية إضافية، مثل قوائم جهات الاتصال والمعايير وأطر العمل واتفاقيات مستوى الخدمة أو تفاصيل إضافية حول بيانات سياسة أمان السحابة المحددة.
أشياء للذكرى
بمجرد الموافقة على سياسة أمان السحابة ووضعها موضع التنفيذ، فكر في الأمر على أنه معيشة وثيقة – ليست ثابتة. استخدم السياسة للمساعدة في إنشاء مؤشرات الأداء الرئيسية للأمنوالتخطيط لعمليات التدقيق المستقبلية والتأكد من الامتثال وإنشاء ثقافة يتم فيها التركيز على الأمان. بالإضافة إلى ذلك، تأكد من أن السياسة تتضمن متطلبات الاختبار المنتظم لخدمات الأمان السحابية، باستخدام الأدوات واختبارات الاختراق ومحاكاة هجمات الاختراق.
بول كيرفان هو مستشار مستقل ومدقق تكنولوجيا المعلومات وكاتب تقني ومحرر ومعلم. يتمتع بخبرة تزيد عن 25 عامًا في مجال استمرارية الأعمال والتعافي من الكوارث والأمن وإدارة مخاطر المؤسسات وتدقيق الاتصالات وتكنولوجيا المعلومات.
